- SERVICE
Webサイト・CMSの保守管理・運用
- WORKS
- ABOUT US
- NEWS & COLUMN
- RECRUIT
皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。
この記事は2024年12月21日に執筆しています。
今回はWooCommerceのバージョンと脆弱性への対応状況についてまとめてみたいと思います。
WooCommerceは、WordPress上で動作する最も有名なEC プラグインの一つであり、Automattic社によって開発・サポートされています。
WordPressのPlugin Directoryの統計情報によると、アクティブインストールは800万以上、総ダウンロード数3億5458万回以上を計測しており、世界でも最も人気のあるECサイトプラグインと言ってよいでしょう。
一方で、人気が高い反面、多くの攻撃者が WooCommerce 自体や関連プラグイン、アドオンを標的にした脆弱性を狙うことも事実です。
そこで、この記事では、企業のWeb担当の皆様に向けて、WooCommerceの概要並びに、脆弱性及びその対応状況をご紹介することで、WooCommerceを安心して使用していただけるようにしたいと思います。
少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。
前述の通り、WooCommerceは、Automattic社によって開発・サポートが継続されている、オープンソースのWordPress向けプラグインです。
このプラグインを使用すると、WordPressサイト上でECサイトを構築することができます。
無料版でも基本的なECサイト機能を網羅しており、商品の登録・管理、在庫追跡、支払い方法の連携などが可能です。
当社では、脆弱性に対する対応が遅い、もしくは対応しないプラグインは、クライアントに推奨していませんが、WooCommerceは定期的にアップデートがされており、2024年12月21日現在、未修正の脆弱性は見つかっていないため、使用は問題ないと考えております。
当社においても、WooCommerceを前提にしたご相談をよくいただくことから、日本国内でも多く使用されているプラグインの一つという印象です。
しかしながら、実際のところ、当社のようなセキュリティを強みとするWeb制作会社の場合、WooCommerceを提案することはあまりありません。
WordPress 固有の脆弱性リスクの他に、WooCommerce自体の脆弱性や、関連プラグイン、アドオンの脆弱性を管理せねばならず、そういった多数の脆弱性情報とその対応コストがかかることが最大の理由ですが、仮にWordPressを利用するにしてもSaaS 型ソリューションによるカート・販売管理システムと組み合わせた方が安定感があると考えているという点も理由の一つです。
公式サイトに直接的な記載は見つけることができませんでしたが、WooCommerceでは、一般的なセマンティックバージョニングに近い形式で更新が行われているようです。
3つの数字の左から「メジャーバージョン.マイナーバージョン.パッチバージョン」となります。
2024年12月21日現在、WooCommerceの最新バージョンは9.5.1であり、WordPress 6.7.1までテストされています。
通常のオープンソースソフトウェアでは、公式のサポート(新機能の追加、不具合の改修、セキュリティパッチの提供)対象は最新パッチバージョンのみであることから、最新パッチバージョンへのアップデートを推奨いたします。
2024年12月21日現在での、WooCommerceのバージョン情報は次の通りです。
バージョン | リリース日 | サポート期限 | 修正された脆弱性 |
9.5.1 | 2024年12月17日 | サポート中 | - |
9.5.0 | 2024年12月16日 | 2024年12月17日 | - |
9.4.3 | 2024年12月3日 | 2024年12月16日 | - |
9.4.2 | 2024年11月19日 | 2024年12月3日 | - |
9.4.1 | 2024年11月12日 | 2024年11月19日 | - |
9.4.0 | 2024年11月11日 | 2024年11月12日 | - |
9.3.3 | 2024年9月25日 | 2024年11月11日 | - |
9.3.2 | 2024年9月18日 | 2024年9月25日 | - |
9.3.1 | 2024年9月12日 | 2024年9月18日 | - |
9.3.0 | 2024年9月10日 | 2024年9月12日 | - |
9.2.3 | 2024年8月26日 | 2024年9月10日 | - |
9.2.2 | 2024年8月22日 | 2024年8月26日 | - |
9.2.1 | 2024年8月21日 | 2024年8月22日 | - |
9.2.0 | 2024年8月20日 | 2024年8月21日 | - |
9.1.4 | 2024年7月26日 | 2024年8月20日 | - |
9.1.3 | 2024年7月24日 | 2024年7月26日 | CVE-2024-39666 |
9.1.2 | 2024年7月12日 | 2024年7月24日 | - |
9.1.1 | 2024年7月11日 | 2024年7月12日 | - |
9.1.0 | 2024年7月10日 | 2024年7月11日 | CVE-2024-9944 |
※上記の内容は、WordPress公式サイト開発ログの情報を正として、バージョン9.1.0までを掲載しています。
※既知の脆弱性が存在バージョンはグレーにしています。
2024年12月21日現在、WooCommerceの最新バージョンは9.5.1であり、当社が把握している全ての脆弱性に修正対応済みとなっています。
また、WooCommerce 9.1.2以下のバージョンをご使用の場合には、既知の脆弱性が存在している可能性がありますので、最新バージョンへとアップデートをしてください。
なお、WooCommerce自体に関する脆弱性情報で、当社が把握しているものは次の通りです。
脆弱性情報 | 深刻度 | 影響を受けるバージョン | 修正されたバージョン |
CVE-2024-9944 JVNDB-2024-010621 |
CVSS v3 6.1 (警告) |
WooCommerce 9.0.2までのバージョン | WooCommerce 9.1.0 |
CVE-2024-39666 CVE-2024-39666 Detail |
CVSS v3 4.4 (警告) |
WooCommerce 9.1.2までのバージョン | WooCommerce 9.1.3 |
CVE-2024-37297 JVNDB-2024-004598 |
CVSS v3 5.4 (警告) |
WooCommerce 8.9.0から8.9.2 WooCommerce 8.8.0から8.8.4 |
WooCommerce 8.9.3 WooCommerce 8.8.5 |
CVE-2024-22155 CVE-2024-22155 Detail |
CVSS v3 4.3 (警告) |
WooCommerce 8.5.2までのバージョン | WooCommerce 8.6.0 |
CVE-2024-1310 CVE-2024-1310 Detail |
CVSS v3 4.3 (警告) |
WooCommerce 8.5.2までのバージョン | WooCommerce 8.6.0 |
Wordfence | CVSS v3 6.1 (警告) |
WooCommerce 8.3.1までのバージョン | WooCommerce 8.4.0 |
CVE-2023-52222 JVNDB-2023-024637 |
CVSS v3 8.8 (重要) |
WooCommerce 8.2.2までのバージョン | WooCommerce 8.3.0 |
CVE-2023-52222 JVNDB-2023-024637 |
CVSS v3 8.8 (重要) |
WooCommerce 8.2.2までのバージョン | WooCommerce 8.3.0 |
Wordfence | CVSS v3 7.2 (重要) |
WooCommerce 6.2.0までのバージョン | WooCommerce 6.2.1 |
CVE-2022-0775 JVNDB-2022-025029 |
CVSS v3 4.3 (警告) |
WooCommerce 6.2.0までのバージョン | WooCommerce 6.2.1 |
CVE-2022-2099 JVNDB-2022-014886 |
CVSS v3 4.8 (警告) |
WooCommerce 6.5.1までのバージョン | WooCommerce 6.6.0 |
Wordfence | CVSS v3 4.3 (警告) |
WooCommerce 6.3 WooCommerce 6.2から6.2.1 WooCommerce 6.1から6.1.1 WooCommerce 6.0 WooCommerce 5.9 WooCommerce 5.8 WooCommerce 5.7から5.7.1 WooCommerce 5.6.0から5.6.1 WooCommerce 5.5から5.5.3 WooCommerce 5.4から5.4.3 WooCommerce 5.3から5.3.2 WooCommerce 5.2から5.2.4 WooCommerce 5.1から5.1.2 WooCommerce 5.0から5.0.2 WooCommerce 4.9から4.9.4 WooCommerce 4.8から4.8.2 WooCommerce 4.7から4.7.3 WooCommerce 4.6から4.6.4 WooCommerce 4.5から4.5.4 WooCommerce 4.4から4.4.3 WooCommerce 4.3から4.3.5 WooCommerce 4.2から4.2.4 WooCommerce 4.1から4.1.3 WooCommerce 4.0から4.0.3 WooCommerce 3.9から3.9.4 WooCommerce 3.8から3.8.2 WooCommerce 3.7から3.7.2 WooCommerce 3.6から3.6.6 WooCommerce 3.5から3.5.9 |
WooCommerce 6.3.1 WooCommerce 6.2.2 WooCommerce 6.1.2 WooCommerce 6.0.1 WooCommerce 5.9.1 WooCommerce 5.8.1 WooCommerce 5.7.2 WooCommerce 5.6.2 WooCommerce 5.5.4 WooCommerce 5.4.4 WooCommerce 5.3.3 WooCommerce 5.2.5 WooCommerce 5.1.3 WooCommerce 5.0.3 WooCommerce 4.9.5 WooCommerce 4.8.3 WooCommerce 4.7.4 WooCommerce 4.6.5 WooCommerce 4.5.5 WooCommerce 4.4.4 WooCommerce 4.3.6 WooCommerce 4.2.5 WooCommerce 4.1.4 WooCommerce 4.0.4 WooCommerce 3.9.5 WooCommerce 3.8.3 WooCommerce 3.7.3 WooCommerce 3.6.7 WooCommerce 3.5.10 |
Wordfence | CVSS v3 6.5 (警告) |
WooCommerce 5.6 WooCommerce 5.5から5.5.2 WooCommerce 5.4から5.4.2 WooCommerce 5.3から5.3.1 WooCommerce 5.2から5.2.3 WooCommerce 5.1から5.1.1 WooCommerce 5.0から5.0.1 WooCommerce 4.9から4.9.3 WooCommerce 4.8から4.8.1 WooCommerce 4.7から4.7.2 WooCommerce 4.6から4.6.3 WooCommerce 4.5から4.5.3 WooCommerce 4.4から4.4.2 WooCommerce 4.3から4.3.4 WooCommerce 4.2から4.2.3 WooCommerce 4.1から4.1.2 WooCommerce 4.0から4.0.2 |
WooCommerce 5.7.0 WooCommerce 5.6.1 WooCommerce 5.5.3 WooCommerce 5.4.3 WooCommerce 5.3.2 WooCommerce 5.2.4 WooCommerce 5.1.2 WooCommerce 5.0.2 WooCommerce 4.9.4 WooCommerce 4.8.2 WooCommerce 4.7.3 WooCommerce 4.6.4 WooCommerce 4.5.4 WooCommerce 4.4.3 WooCommerce 4.3.5 WooCommerce 4.2.4 WooCommerce 4.1.3 WooCommerce 4.0.3 |
CVE-2021-32790 JVNDB-2021-011961 |
CVSS v3 4.9 (警告) |
WooCommerce 5.4から5.4.1 WooCommerce 5.3 WooCommerce 5.2から5.2.1 WooCommerce 5.1 WooCommerce 5.0 WooCommerce 4.9から4.9.2 WooCommerce 4.8 WooCommerce 4.7から4.7.1 WooCommerce 4.6から4.6.2 WooCommerce 4.5から4.5.2 WooCommerce 4.4から4.4.1 WooCommerce 4.3から4.3.3 WooCommerce 4.2から4.2.2 WooCommerce 4.1から4.1.1 WooCommerce 4.0から4.0.1 WooCommerce 3.9から3.9.3 WooCommerce 3.8から3.8.1 WooCommerce 3.7から3.7.1 WooCommerce 3.6から3.6.5 WooCommerce 3.5から3.5.8 WooCommerce 3.4から3.4.7 WooCommerce 3.3.5までのバージョン |
WooCommerce 5.4.2(5.5.1、5.5.2) WooCommerce 5.3.1 WooCommerce 5.2.2 WooCommerce 5.1.1 WooCommerce 5.0.1 WooCommerce 4.9.3 WooCommerce 4.8.1 WooCommerce 4.7.2 WooCommerce 4.6.3 WooCommerce 4.5.3 WooCommerce 4.4.2 WooCommerce 4.3.4 WooCommerce 4.2.3 WooCommerce 4.1.2 WooCommerce 4.0.2 WooCommerce 3.9.4 WooCommerce 3.8.2 WooCommerce 3.7.2 WooCommerce 3.6.6 WooCommerce 3.5.9 WooCommerce 3.4.8 WooCommerce 3.3.6 |
CVE-2021-24323 JVNDB-2021-007123 |
CVSS v3 4.8 (警告) |
WooCommerce 5.1.3までのバージョン | WooCommerce 5.2.0 |
CVE-2020-29156 JVNDB-2020-015083 |
CVSS v3 5.3 (警告) |
WooCommerce 4.6.3までのバージョン | WooCommerce 4.7.0 |
Wordfence | CVSS v3 6.5 (警告) |
WooCommerce 4.6.1までのバージョン | WooCommerce 4.6.2 |
Wordfence | CVSS v3 6.1 (警告) |
WooCommerce 4.2.0までのバージョン | WooCommerce 4.2.1 |
Wordfence | CVSS v3 8.8 (重要) |
WooCommerce 4.0.4までのバージョン | WooCommerce 4.1.0 |
CVE-2019-20891 JVNDB-2019-015714 |
CVSS v3 8.8 (重要) |
WooCommerce 3.6.4までのバージョン | WooCommerce 3.6.5 |
CVE-2019-9168 JVNDB-2019-002015 |
CVSS v3 6.1 (警告) |
WooCommerce 3.5.4までのバージョン | WooCommerce 3.5.5 |
Wordfence | CVSS v3 5.5 (警告) |
WooCommerce 3.5.1までのバージョン | WooCommerce 3.5.2 |
CVE-2018-20714 JVNDB-2018-014124 |
CVSS v3 8.1 (重要) |
WooCommerce 3.4.5までのバージョン | WooCommerce 3.4.6 |
Wordfence | CVSS v3 6.6 (警告) |
WooCommerce 3.4.4までのバージョン | WooCommerce 3.4.5 |
CVE-2017-18356 JVNDB-2017-014390 |
CVSS v3 8.8 (重要) |
WooCommerce 3.2.3までのバージョン | WooCommerce 3.2.4 |
CVE-2017-17058 JVNDB-2017-010916 |
CVSS v3 7.5 (重要) |
WooCommerce 3.2.5までのバージョン | WooCommerce 3.2.6 |
CVE-2016-10112 JVNDB-2016-006595 |
CVSS v3 4.8 (警告) |
WooCommerce 2.6.8までのバージョン | WooCommerce 2.6.9 |
Wordfence | CVSS v3 6.4 (警告) |
WooCommerce 2.6.2までのバージョン | WooCommerce 2.6.3 |
Wordfence | CVSS v3 5.5 (警告) |
WooCommerce 2.4.8までのバージョン | WooCommerce 2.4.9 |
Wordfence | CVSS v3 7.5 (重要) |
WooCommerce 2.3.10までのバージョン | WooCommerce 2.3.11 |
CVE-2015-2329 JVNDB-2015-008104 |
CVSS v3 6.1 (警告) |
WooCommerce 2.3.5までのバージョン | WooCommerce 2.3.6 |
CVE-2015-2069 JVNDB-2015-001622 |
CVSS v3 4.3 (警告) |
WooCommerce 2.2.10までのバージョン | WooCommerce 2.2.11 |
Wordfence | CVSS v3 6.1 (警告) |
WooCommerce 2.2.2までのバージョン | WooCommerce 2.2.3 |
CVE-2014-6313 CVE-2014-6313 Detail |
CVSS v3 4.3 (警告) |
WooCommerce 2.2.2までのバージョン | WooCommerce 2.2.3 |
Wordfence | CVSS v3 6.1 (警告) |
WooCommerce 2.0.17までのバージョン | WooCommerce 2.0.18 |
Wordfence | CVSS v3 6.1 (警告) |
WooCommerce 2.0.12までのバージョン | WooCommerce 2.0.13 |
※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。CVEにて採番されていない脆弱性情報については、Wordfenceへのリンクを掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しており、その他の情報については、JVN iPediaなどでご確認ください。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulnerability Database(以下「NVD」)や独立行政法人情報処理推進機構(以下「IPA」)に準拠しています。NDV、IPAでスコアリングがされていない場合には、Wordfenceのスコアを記載しています。
※影響を受ける範囲については、基本的にCVE、NDVの記載を正としていますが、CVE-2021-32790については、WooCommerce公式サイトでの発表内容と差異があり、後者を正と判断しております。
※CVE-2023-32575については、JVNではWooCommerceに関する脆弱性と記載されていますが、NVD、Patchstack、開発ログの内容から別のプラグインないしアドオンに関する脆弱性であると判断しております。
※本記事における脆弱性情報は、WooCommerce無料版についてのものであり、WooCommerce有料版のものは含まれておりません。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVD、Wordfenceなどの情報を確認されたうえで、自己責任でご利用ください。
前述のように、WooCommerceは人気のあるプラグインであり、日本国内でも利用者は多数いるものと推察されます。
しかしながら、WooCommerce自体のバージョンアップをしようと思っても、最新のWordPressで上手く動かなかったり、PHPのバージョンアップが必要であったり、設定が複雑であるなどの問題に直面することもあるかと思います。
taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、WooCommerceとWordPressはもちろんのこと、PHP、MySQL、MariaDBについても知見を有しています。
※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。
WooCommerceを使用したWebサイト制作やアップデートを含む保守管理に関しては、こちらのお問合せよりお気軽にご相談ください。
taneCREATIVEに所属する謎のトラ。
2024年12月21日執筆